In den letzten zehn Jahren fand eine enorme Demokratisierung der IT statt und damit auch eine zunehmende Vielfalt von Cloud-Umgebungen. Die meisten Sicherheitsunternehmen haben die Verbreitung von IT-Diensten über eine große Anzahl von Anbietern verteufelt, aber diese Vielfalt ist nichts, was wir bekämpfen sollten. Vielmehr zeigen unsere Untersuchungen mit CISOs, dass die zunehmende Anzahl von Anbietern zwar die Sicherheitspraktiken erschwert, die Demokratisierung der IT aber eine innovationsorientierte Kultur und die Nutzung spezialisierter, kosteneffizienter Cloud-Services ermöglicht, was Unternehmen langfristig hilft.
Auch wenn wir die Cloud-Vielfalt nicht bekämpfen sollten, müssen Unternehmen dynamische Ressourcen, die über eine Vielzahl von Anbietern verteilt sind, aktiv verwalten und überwachen und kontinuierlich nach neuen ShadowCloudTM -Ressourcen Ausschau halten, damit diese aktiv entdeckt, verfolgt und in einen verwalteten Sicherheitsstatus versetzt werden können. Dies ist ein Ansatz, den wir Continuous Inventory nennen, bei dem sowohl eine erstklassige Erkennung als auch eine kontinuierliche Überwachung der Schlüssel ist, um mit der schnellen Veränderungsrate Ihrer Cloud-Umgebungen Schritt zu halten.
Es gibt verschiedene Ansätze, um die in der Cloud befindlichen Daten in den Griff zu bekommen, die wir im Folgenden näher erläutern:
- Überwachung des Datenverkehrs: In diesem Modus wird der gesamte Datenverkehr, der die Ausgangspunkte eines Unternehmens verlässt, auf sein Ziel in einer Reihe bekannter Cloud-Umgebungen überwacht. Dies funktioniert sehr gut, um Probleme in Echtzeit zu erkennen. Allerdings kann es zu Störungen kommen, und diese Systeme erfassen nur den Datenverkehr, bei dem Sie Ihre Ausgangspunkte im gesamten Unternehmen ordnungsgemäß konfiguriert haben. Für viele große Unternehmen kann dies keine 100-prozentige Abdeckung gewährleisten, und es würde auch nicht die Infrastruktur abdecken, die von Drittanbietern eingerichtet wurde, oder jene Mitarbeiter, die von zu Hause aus arbeiten und nicht durch die Unternehmensinfrastruktur tunneln. Und wie wir wissen, wollen Entwickler/Devops und Marketingmitarbeiter, die viele der unbekannten Assets für unsere Kunden produzieren, schnell handeln, um ihre Arbeit zu erledigen, und werden die Infrastruktur mit dem geringsten Widerstand aufsetzen und sie oft vergessen.
- Integrationen: In diesem Modell integrieren Unternehmen all ihre internen Signale an einem einzigen Punkt, an dem verschiedene Software wie ActiveDirectory, Endpoint Protection, VPN, CMDB und andere Software in einem einzigen Datenmodell zusammenlaufen. Herkömmliche SIEM-Produkte tun zwar etwas Ähnliches, normalisieren dies aber nicht zu einer einzigen Quelle der Wahrheit für das Asset Management. Diese Modelle funktionieren gut, wenn Sie gründliche Integrationen haben, aber sie leiden auch unter dem Paradigma "Garbage-in, garbage-out". Es ist unwahrscheinlich, dass sie mit Assets, die von Drittanbietern, Remote-Mitarbeitern und nicht genehmigten Assets erstellt wurden, so gut funktionieren. Integrationen sind ein notwendiger Bestandteil der Kontextualisierung von Informationen aus einigen der anderen hier beschriebenen Erkennungsmethoden, damit Sie darauf reagieren können.
- Cloud-Überwachungstools: In diesem Modell bietet eine Reihe von API-Integrationen in die primären Cloud-Anbieter einen tiefen Einblick in die in diesen Umgebungen betriebenen Ressourcen. Viele dieser Tools interagieren mit der Konfiguration der Cloud-Umgebung und bewerten nicht wirklich, was auf dem Host selbst vor sich geht. Sie gehen sehr tief, um anhand von Konfigurationsdaten Risiken bei bekannten Cloud-Anbietern zu finden, versäumen es aber oft, Schattenkonten bei diesen bekannten Anbietern und unbekannten Cloud-Anbietern zu finden, oder was wir ShadowCloudTM nennen.
- Internet Wide Perspective: Bei Censys verfolgen wir einen anderen Ansatz als bei den oben beschriebenen Modellen. Wir betrachten das gesamte Internet durch jahrelange akademische Forschung an der Universität von Michigan, die es uns ermöglicht, jedes Gerät, das öffentlich mit dem Internet verbunden ist, zu entdecken, zu verfolgen und zu überwachen. Um uns selbst zu loben: Wir sehen über 40 % mehr vom Internet als unser nächster Konkurrent. Das ist der Schlüssel, um all die Long-Tail-Sachen da draußen zu finden, wo sich alle Risiken im Schatten verstecken. Mithilfe eines Algorithmus, den wir in jahrelanger Arbeit entwickelt haben, können wir diese Daten zusammen mit anderen Datensätzen verwenden, um die zu einer Organisation gehörenden Vermögenswerte zuzuordnen. Denken Sie an Namen, Zertifikate, WhoIS-Daten, Akquisitionsdatenbanken usw. Der Algorithmus verwendet unsere Universal Internet Datasets, um aus allem, was wir finden, ein Diagramm einer Organisation zu erstellen. Der Clou dabei ist, dass wir nicht nur die Infrastruktur erkennen, die innerhalb der Organisation aufgebaut wurde, sondern auch die Infrastruktur, die von Dritten, von Mitarbeitern von zu Hause aus und sogar von Angreifern aufgebaut wurde, um sich als Ihre Organisation auszugeben. Es findet Infrastrukturen, die durch Integrationen und Verkehrsüberwachung allein nicht zu erkennen sind. Und schließlich ermöglicht es uns, coole Recherchen über mehrere Unternehmen und das Internet hinweg durchzuführen!
ShadowCloud ist die Norm. In einer repräsentativen Stichprobe von über 50 großen Unternehmen fanden wir die wichtigsten öffentlichen und privaten Cloud-Anbieter, die eine Mischung aus IaaS, PaaS, SaaS und CDNs anbieten. Wir konnten die Angriffsflächen unserer Stichprobe mit den folgenden Cloud-Service-Anbietern in Verbindung bringen:
Schockierend, oder? Und die Liste wird noch länger, aber das ist eine gute Auswahl. Einige davon könnten sogar erhebliche Probleme bei der Einhaltung von Vorschriften verursachen. Wir haben gehört, dass unsere Kunden in der Regel die wichtigsten 3 bis 5 Cloud-Anbieter kennen, aber sie sind erstaunt, wenn sie feststellen, dass sie einen langen Schwanz von Cloud-Anbietern als Teil ihrer Angriffsfläche haben. Unsere Untersuchungen zeigen, dass dieser lange Schwanz von unbekannten Cloud-Instanzen meist einige der höchsten Risiken für Datenlecks und unbefugten Zugriff birgt.
Wir sind der Meinung, dass eine Kombination aus der Erkennung von Vermögenswerten unter Verwendung einiger der oben beschriebenen Best-of-Breed-Techniken in Verbindung mit einer internetweiten Perspektive der einzige Ansatz ist, um alle Ihre Vermögenswerte und deren Risiken zu finden. Bei der Verwaltung der Angriffsfläche geht es darum, alle Ihre externen Vermögenswerte und deren Risiken zu ermitteln, aber vor allem darum, Transparenz in das schnell wachsende und dynamische Cloud-Ökosystem zu bringen. Unter Censys bieten wir das Angriffsflächenmanagement für diejenigen an, die in die Cloud migrieren und ihre nach außen gerichteten Anlagen auf den Prüfstand stellen wollen, um ihre Schattenwolke in einen verwalteten Zustand zu bringen.
Setzen Sie sich mit uns in Verbindung, und wir werden gerne mit Ihnen zusammen herausfinden, wie Ihr Cloud-Longtail aussieht - die Chancen stehen gut, dass Sie sehr überrascht sein werden.
